تجاوز سوق DeFi 40 مليار دولار حيث عانت Alpha Finance من أسوأ هجوم على القروض السريعة في التاريخ

DeFi Digest من OKEx Insights هو فحص أسبوعي لصناعة التمويل اللامركزية.

صورة DeFi Digest

وصل سوق التمويل اللامركزي مرة أخرى إلى ارتفاعات جديدة على خلفية BTC حيث وصل إلى 50000 دولار عبر البورصات العالمية. تجاوزت القيمة الإجمالية المحجوزة في منتجات DeFi لأول مرة 40 مليار دولار في 12 فبراير وسجلت مكاسب أسبوعية بنسبة 8٪.

كان الارتفاع المستمر في سوق DeFi واضحًا في مجال الإقراض ، حيث ارتفع إجمالي حجم الاقتراض بنسبة 13٪ إلى 7.23 مليار دولار. سيطر المجمع على سوق الإقراض بحصة 55٪.

انخفض متوسط ​​حجم التداول الأسبوعي للبورصات اللامركزية بشكل طفيف إلى 2.28 مليار دولار ، حتى وقت كتابة هذا التقرير. Uniswap – الذي تم مؤخرًا معالجتها حجم تراكمي يزيد عن 100 مليار دولار – يواصل قيادة DEX بحصة سوقية تبلغ 38٪. حلت Aave محل SushiSwap كأكبر تجمع سيولة هذا الأسبوع ، حيث بلغت قيمته الإجمالية 1.52 مليار دولار..

فئة الإحصائيات الرئيسية كمية نسبة التغيير الأسبوعية
شاملة إجمالي القيمة المقفلة (بالدولار الأمريكي) 39.94 مليار دولار
هيمنة السوق (٪) صانع (16٪)
الإقراض إجمالي حجم الاقتراض. 7.23 مليار دولار 13٪
هيمنة السوق (٪) مجمع (55٪)
DEXs المتوسط ​​الأسبوعي حجم التداول. 2.28 مليار دولار -6٪
هيمنة السوق (٪) Uniswap (38٪)
زراعة الغلة أكبر تجمع سيولة Aave (1.52 مليار دولار)

هذا الأسبوع ، ارتفع كل من القيمة الإجمالية المقفلة وأحجام الاقتراض ، بينما أحجام تداول DEX الأسبوعية انخفض بنسبة 6٪. المصدر: DeFi Pulse و DeBank

أكبر هجوم لقرض سريع من DeFi

في حين أن المشاركين في سوق DeFi كانوا متحمسين بشأن 40 مليار دولار من علامة TVL هذا الأسبوع ، عانت Alpha Finance من هجوم قرض سريع أدى إلى خسارة تقريبية قدرها 38 مليون دولار. تجاوز هذا الاختراق الذي حققته شركة Harvest Finance بمبلغ 34 مليون دولار وأصبح أكبر هجوم لقرض سريع في تاريخ DeFi القصير نسبيًا.

فريق Alpha Finance أولاً أعلن هجوم القرض العاجل في 13 فبراير. أطلق الفريق أ بعد الوفاة في اليوم التالي لمشاركة تفاصيل استغلال Alpha Homora V2.

وذكر تشريح الجثة أن المهاجم أطلق ثغرة معقدة تنطوي على أكثر من تسع معاملات ، والتي تم تلخيصها في 13 خطوة. أدرج الفريق أيضًا الثغرات التالية في عقد Alpha Homora V2 الذكي الذي جعل الاستغلال ممكنًا:

  1. كان لدى HomoraBankv2 تجمع sUSD قيد الإعداد ولم يتم إصداره للجمهور. لم يكن لدى تجمع الدولار الأمريكي بالدولار الأمريكي سيولة ويمكن للمهاجم تضخيم كل من إجمالي مبلغ الدين وإجمالي نصيب الدين.
  2. يمكن أن تؤدي وظيفة “حل الاحتفاظ” إلى زيادة إجمالي الدين دون زيادة إجمالي نصيب الدين. يمكن تنفيذ هذه الوظيفة من قبل أي مستخدم.
  3. كان هناك خطأ في التقدير التقريبي في حساب دالة الاقتراض. كان هذا قابلاً للتطبيق فقط عندما كان المهاجم هو المقترض الوحيد.
  4. قبل HomoraBankv2 أي تعويذة مخصصة من المستخدمين ، بالنظر إلى أن مبلغ الضمان أكبر من مبلغ الاقتراض. (تشبه التعويذة في Alpha Finance إستراتيجية في Yearn Finance.)

لبدء هجوم القرض السريع المعقد ، يجب على المهاجم أولاً خلق تعويذة في Alpha Homora V2. ثم قام المهاجم بتبديل ETH إلى sUSD على Uniswap وأودع sUSD في Iron Bank of Cream Finance. للتلاعب في تجمع sUSD ، اقترض المهاجم 1000e18 sUSD وتجاوز فحص الأمان الإيداع رمز تجمع السيولة الخاص بـ UNI-WETH كضمان. وحصل المهاجم في المقابل على سهم ديون بقيمة 1،000e18 sUSD. استغل المهاجم الثغرات الأولى والرابعة المذكورة سابقًا لتنفيذ هذه الخطوات.

بينما كان المهاجم هو المقترض الوحيد في استغلال Alpha Finance هذا ، فقد استفاد من سوء التقدير التقريبي في وظيفة الاقتراض من خلال السداد حصة SUSD أقل بواحد من إجمالي مبلغ الاقتراض. المهاجم بعد ذلك أعدم وظيفة حل الاحتفاظ في بنك sUSD ، مما أدى إلى تراكم ديون بقيمة 19،709 مليار دولار أمريكي حيث ظل إجمالي حصة الدين واحدًا.

كرر المهاجم الإجراءات المذكورة أعلاه 26 مرة وضاعف المبلغ المقترض في كل مرة. نظرًا لأن كل اقتراض كان أقل بمقدار واحد من إجمالي قيمة الدين ، فقد أدى ذلك إلى حصة اقتراض مقابلة قدرها صفر ، ولم يتمكن البروتوكول من التعرف على الاقتراض. ثم حصل المهاجم على قروض سريعة من Aave وغسل الأموال الموجودة في Curve.

رد فعل ألفا للتمويل

حتى وقت كتابة هذا التقرير ، المهاجم محتجز 10،925 ETH في عنوان محفظتهم. بينما المهاجم لديه أودعت أكثر من 10 ملايين دولار من العملات المستقرة تحت مقياس Curve ، أعادوا 1،000 ETH إلى مطوري Alpha Homora V2 و Cream V2 ، على التوالي. تم إرسال جزء صغير من ETH المسروق إلى Tornado و Gitcoin Grant. قدر فريق Alpha إجمالي خسارة الأموال بـ 38 مليون دولار.

أكد فريق Alpha أن الاقتراض من المهاجمين كان دينًا بين منصات Alpha Homora V2 و Cream V2 ، مما يعني أن أموال المستخدمين لم تكن متورطة في هذا الحادث. اتخذ فريق Alpha Finance الإجراءات الفورية التالية لوقف الاستغلال:

  • لقد أزال وظيفة الاقتراض والسداد في sUSD ، مما منع المستخدمين من فتح مراكز جديدة ذات رافعة مالية.
  • لقد ضمنت أنه لا يمكن تنفيذ سوى التعويذات المدرجة في القائمة البيضاء.
  • كفلت أن الحاكم هو الوحيد القادر على تنفيذ "العزم" وظيفة.
  • اتصلت بأطراف مختلفة لإدراج عنوان المهاجم في القائمة السوداء.

في حين لا يمكن لمقدمي السيولة الاقتراض في نظام ألفا ، لا يزال بإمكانهم إضافة ضمانات ، وسداد الديون ، وإغلاق المراكز ، وجني الرموز المميزة الخاصة بهم. من ناحية أخرى ، يمكن للمقرضين في Alpha Finance إقراض الأصول وسحبها ، كالمعتاد.

لتخفيف الأثر السلبي الذي يلحق بمستخدمي Alpha Finance ، يشترك الفريق مع مؤسس Yearn Finance Andre Cronje وفريق Cream Finance لتسوية الديون.

كحل متوسط ​​إلى طويل الأجل ، واصل فريق Alpha Finance البحث عن مدققين خارجيين ومطورين موثوقين لمراجعة عقودهم الذكية. يفكر الفريق أيضًا في إطلاق برامج مكافآت جديدة ومبتكرة لبروتوكولات DeFi لاتباعها.

تقدم OKEx Insights تحليلات السوق والميزات المتعمقة والأخبار المنسقة من محترفي التشفير.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Our Socials
Facebooktwitter
Promo
banner
Promo
banner